Ein Informationsobjekt ist ein Konfigurationselement, das Informationen in organisierter Form anzeigt. Der Zweck des Informationsobjekts besteht darin, den Typ der Daten, die zwischen der Anwendung und der Datenbank ausgetauscht werden, logisch zu beschreiben. Nachdem Informationsobjekte erstellt wurden, werden sie Geschäftsanwendungen zugeordnet. Für eine bestimmte Geschäftsanwendung bestimmen die Informationsobjekte, ob Informationen in dieser Geschäftsanwendung erstellt, aktualisiert, gelöscht oder gelesen werden können. Mit dieser Funktion können Anwendungsbesitzer Informationen effizient verwalten. Aus der Perspektive des Informationssicherheitsmanagements ermöglicht diese Funktion der Risiko- und Compliance-Funktion, das richtige Maß an Kontrollen zu definieren, das angewendet werden muss.

Die folgende Abbildung zeigt ein Beispiel für Informationsobjekte. Es gibt zwei Anwendungen: Workday und Now HR. In beiden Anwendungen werden Mitarbeiterinformationen gespeichert. Mitarbeiterinformationen sind ein Informationsobjekt. Die Anwendung Now HR kann Mitarbeiterinformationen nur lesen, während die Anwendung Workday über mehr Berechtigungen verfügt. Die Risiken und Kontrollen, die für die Anwendungen von gelten, sind ähnlich. Workday liest jedoch nicht nur die Mitarbeiterinformationen, sondern erstellt, aktualisiert und löscht sie auch. Dies bedeutet, dass die mit Workday verbundenen Risiken höher sind und die auf Workday angewendeten Kontrollen strenger sind.